-
-
[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程
-
2007-12-15 01:01
-
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
看了这个 收获很大,早出2个月就更好了 当时在看The_Shellcoder's_Handbook
可惜里面基础部分和中级部分都是在LINUX上实现的 想装LINUX 可惜硬盘容量不够...挣扎很久 才放弃的.....终于有在WINDOWS上的 基础教程了....特地还原了机器 恢复了删除的VC6 顺便问一下 为什么我把第4个单元 改成正确的EBP 结果 没有溢出? 看到你上面说 因为堆栈不平衡 程序崩溃 所以我试着改了第4个单元 重载以后 发现 第5个单元没有覆盖函数返回的地址...  怎么回事?而且改了以后 TXT里 全部变成乱码 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
请问显示反汇编后显示函数名而不是显示函数编号的OD插件是什么?谢谢大侠能帮助我,有这个插件的话不妨上传一个 
|
|
|
|
|
|
|
|
|
|
|
|
举手,提问了
 大概和楼主的系统不一样,地址有少许出入。就是要构造的返回地址0x401122和我的0x40111a, 对于楼主构造的 3433323134333231343332313433323122114000 fscanf总是能获取到完整的一行 而我的0x40111a 343332313433323134333231343332311a114000 总是只获取到返回地址前的dword,就是第四个"4321",导致后面构造的返回地址没能覆盖掉原来的  并且"4321432143214321"最后的一个NULL,覆盖了原返回地址0x4010ff,所以就返回到0x401000了,  附上我的txt |
|
|
|
|
|
原来0x1a模拟文件结束
我想其他办法吧 |
|
|
问题解决
分享一下 --------------- 因为我的系统中,该程序的密码正确提示分支地址是0x40111a,而0x1a模拟文件结束,当fscanf从文件获得一行文件时,遇到0x1a则停止。 所以不能直接覆盖返回地址( 1a 11 40 00 ) buffer[8] (8字节)+authenticated变量(4字节)+原栈帧(4字节)+返回地址(4字节) =20字节 减去返回地址必须的四个字节,我们还有16字节的利用空间 构造一个返回地址,让程序返回我们的buffer,在buffer及以后的十六字节中让程序返回正确分支0x40111a 条件是, 因为fscanf,所以不能直接出现0x1a; 因为strcpy,所以不能直接出现0x00空中止; 控制在16字节以内。 下面是我构造的反汇编代码: 0013FB7C 33C0 xor eax, eax 0013FB7E B0 40 mov al, 40 0013FB80 C1E0 10 shl eax, 10 0013FB83 66:B8 2211 mov ax, 1122 0013FB87 2C 08 sub al, 8 0013FB89 50 push eax 0013FB8A C3 retn 0013FB8B 90 nop 上面加上一个nop后是十六字节,算出0x40111a,再后面四字节的返回地址
返回ebp還是有問題,我放棄 在楼主大侠面前献丑了
|
|
|
|
|
|
|
|
|
听课了 还好不是很晚 o(∩_∩)o...
|
|
|
|
